国产一级a片免费看高清,亚洲熟女中文字幕在线视频,黄三级高清在线播放,免费黄色视频在线看

裝好系統(tǒng)后，大家第一個(gè)要干的事情可能就是對系統(tǒng)進(jìn)行各種優(yōu)化，所用的軟件也五花八門，這些一般都是共享軟件，雖然可以免費(fèi)使用，不過試用版在時(shí)間或者功能上或多或少會有一些限制。你可知道，操作系統(tǒng)自己的組策略就是個(gè)很好的優(yōu)化工具，利用組策略我們可以對很多隱藏設(shè)置進(jìn)行修改，使系統(tǒng)更個(gè)性化，也能極大的提高系統(tǒng)安全性。本文將會就組策略的設(shè)置以及安全模板的使用進(jìn)行一些討論，而所包括的操作系統(tǒng)則限于Windows 2000、Windows XP Professional（下文中出現(xiàn)的Windows XP均不包括Home版），還有Windows Server 2003。

什么是組策略

組策略是從Windows 2000中開始使用的管理技術(shù)，管理員可以使用組策略對一臺或多臺計(jì)算機(jī)的各種選項(xiàng)進(jìn)行設(shè)置。組策略的使用非常靈活，其中包括了基于注冊表的策略設(shè)置、安全設(shè)置、軟件安裝、腳本運(yùn)行、計(jì)算機(jī)啟動和關(guān)閉、用戶登錄和注銷等各種方面。

怎樣配制組策略

組策略的配制和應(yīng)用非常靈活，而且在不同的環(huán)境有不同的方法。對于單機(jī)或工作組環(huán)境下，我們可以使用組策略編輯器對組策略進(jìn)行設(shè)置和修改。而在域環(huán)境下的功能則更加強(qiáng)大，只要管理員在域控制器上部署了相應(yīng)的策略，所有登錄到這個(gè)域控制器上的客戶端計(jì)算機(jī)都將被自動應(yīng)用這些策略，真正實(shí)現(xiàn)了一次設(shè)置處處執(zhí)行。

單機(jī)和工作組環(huán)境下的組策略設(shè)置

在運(yùn)行中輸入gpedit.msc并回車可打開組策略編輯器（圖一）。組策略編輯器的窗口主要分了左右兩個(gè)部分，這個(gè)和注冊表編輯器的界面類似，左側(cè)用樹形圖的形式顯示了所有可用的策略類別，而右側(cè)面板則詳細(xì)顯示了每種類別中可以配制的策略，只要雙擊這些策略便可以對其進(jìn)行配制。為了讓你更明白組策略的使用，我們會舉幾個(gè)例子來說明（以下內(nèi)容主要以Windows XP操作系統(tǒng)為例，不過大部分內(nèi)容同樣適用于Windows 2000和Windows Server 2003，只不過細(xì)節(jié)方面可能略微不同）。

[ctrl+鼠標(biāo)滾輪縮放]

竅門：暫時(shí)隱藏不用的策略。

如果你是初學(xué)使用組策略，肯定被組策略編輯器里名目繁多的策略弄了個(gè)頭暈眼花，由于不熟悉每個(gè)策略的具體位置，有時(shí)候?yàn)榱伺渲靡粋€(gè)策略可能要在編輯器里翻找大半天，這時(shí)候我們便可以使用組策略編輯器的篩選功能。在左側(cè)的樹形圖列表中選中一個(gè)類別，然后在“查看”菜單下點(diǎn)擊“篩選”，以打開篩選對話框，在這里我們能夠設(shè)置只顯示針對特定軟件的策略。例如我們可以選擇只顯示IE6以及更高版本IE才可以使用的策略，或者隱藏所有不能用于Windows 2000的策略。

竅門：禁用“用戶配置”或“計(jì)算機(jī)配置”策略。

到這里你應(yīng)該對組策略編輯器中顯示的策略結(jié)構(gòu)有所了解，主要結(jié)構(gòu)分為兩部分：計(jì)算機(jī)配置以及用戶配置。如果你想知道當(dāng)前系統(tǒng)中這兩類策略分別有多少被配置過，或者如果你想隱藏其中一種配置，則可以使用這樣的方法：用鼠標(biāo)右鍵點(diǎn)擊組策略編輯器窗口左側(cè)的樹形圖列表頂端的“本地計(jì)算機(jī)策略”字樣，然后選擇屬性，接著會打開一個(gè)本地計(jì)算機(jī)策略屬性對話框。其中“創(chuàng)建”一欄顯示了該策略生成的時(shí)間，一般情況下都是指操作系統(tǒng)的安裝時(shí)間；而“修改”中顯示的是最后一次設(shè)置組策略的時(shí)間；“修訂”一欄則顯示了這兩個(gè)分類中各自有多少策略被配置。如果你希望在這里隱藏其中的一類策略，則可以在該對話框下方鉤選相應(yīng)的復(fù)選框。

隱藏回收站圖標(biāo)

為了美觀，全新安裝的Windows XP桌面上僅有一個(gè)回收站圖標(biāo)。你可能不希望自己的漂亮墻紙被圖標(biāo)擋住，那么怎樣把僅有的回收站圖標(biāo)也刪除？選中后按Delete鍵自然是不行的，不過有組策略就簡單多了。打開組策略編輯器，在左側(cè)的樹形圖中定位到“用戶配制-管理模板-桌面”，然后在右側(cè)面板中找到并雙擊“從桌面刪除回收站”這一策略，你將能看到類似圖二的對話框，選中“已啟用”，然后點(diǎn)擊確定關(guān)閉該對話框。注銷后重新登錄看看，是不是僅有的一個(gè)圖標(biāo)也消失了。

[ctrl+鼠標(biāo)滾輪縮放]

保護(hù)分頁文件中的秘密

對于重要文件，我們都知道通過加密和設(shè)置權(quán)限以禁止其他無關(guān)人員訪問，不過你可知道，如果真的有必要，他人完全可以通過其他途徑獲得你的機(jī)密信息，那就是分頁文件。我們都知道分頁文件作為物理內(nèi)存的補(bǔ)充，用途是在硬盤和內(nèi)存之間交換數(shù)據(jù)，而分頁文件本身就是硬盤上的一個(gè)文件，它位于系統(tǒng)所在硬盤分區(qū)的根目錄中，文件名為pagefile.sys。一般情況下，當(dāng)我們運(yùn)行程序時(shí)，這些程序的一部分內(nèi)容可能會被臨時(shí)保存到分頁文件上，而如果我們編輯完這個(gè)文件后立刻就關(guān)閉了系統(tǒng)，那么文件的一些內(nèi)容仍然有可能被保存在分頁文件中。在這種情況下，如果有人得到了這臺電腦的硬盤，那么只要把硬盤拆出來，利用特殊的軟件，就可以將分頁文件中的機(jī)密信息讀取出來。通過配置組策略，我們可以避免這種潛在的危險(xiǎn)。打開組策略編輯器，在“計(jì)算機(jī)配置-Windows設(shè)置-本地策略-安全選項(xiàng)”下啟用“關(guān)機(jī)：清除虛擬內(nèi)存頁面文件”這個(gè)策略。啟用這個(gè)策略后，關(guān)機(jī)的時(shí)候系統(tǒng)會將分頁文件中的所有內(nèi)容都用“0”或者“1”寫滿，這樣所有的信息自然也都會消失。不過要注意一點(diǎn)，這樣做會減慢系統(tǒng)的關(guān)閉速度，因此如果不是非常必要，不建議你啟用這個(gè)策略。

控制臺下的安全保證

系統(tǒng)故障后我們可能需要到故障恢復(fù)控制臺中進(jìn)行修復(fù)工作。不過如果你只是打算到控制臺下把硬盤上的重要文件復(fù)制到軟盤之后重新安裝系統(tǒng)，那么你可能會失望了。因?yàn)闉榱吮ＷC文件的安全，默認(rèn)情況下，在系統(tǒng)故障恢復(fù)控制臺中，我們僅能有限制地訪問幾個(gè)系統(tǒng)目錄，不能完全訪問所有硬盤分區(qū)。不僅如此，我們還只能把光盤或軟盤中的文件復(fù)制到硬盤上，但是不能把硬盤中的文件復(fù)制到軟盤上。如果你并不需要這種安全措施，完全可以通過配置組策略禁用，同樣是在“計(jì)算機(jī)配置-Windows設(shè)置-本地策略-安全選項(xiàng)”下，啟用“故障恢復(fù)控制臺：允許對所有驅(qū)動器和文件夾進(jìn)行軟盤復(fù)制和訪問”這一策略。再次進(jìn)入控制臺后你會發(fā)現(xiàn)，以往的限制都沒有了。

禁用氣球通知

在Windows XP中，如果系統(tǒng)有什么消息，例如網(wǎng)絡(luò)的聯(lián)通或斷開等信息，將會在系統(tǒng)提示區(qū)（就是屏幕右下角那個(gè)顯示時(shí)間和很多軟件圖標(biāo)的地方）以氣球圖標(biāo)的形式顯示出來。雖然初次使用可能感到新鮮，不過時(shí)間一長你肯定也會感到厭煩。用組策略可以把這些氣球提示永遠(yuǎn)隱藏。同樣是在組策略編輯器中，從左側(cè)的樹形圖中定位到“用戶配制-管理模板-任務(wù)欄和開始菜單”，然后在右側(cè)找到并雙擊打開“刪除開始菜單項(xiàng)目上的氣球提示”，然后點(diǎn)擊“已啟用”并確定退出。

自定義IE瀏覽器

每天用Internet Explorer上網(wǎng)，如果老是面對這一樣的IE窗口那肯定會感到厭倦。如果想要美化一下IE窗口，那就可以用組策略。在組策略編輯器左側(cè)的樹形圖中展開“用戶配置-Windows設(shè)置-Internet Explorer維護(hù)-瀏覽器用戶界面”。在這里，我們可以自定義瀏覽器的窗口標(biāo)題欄，右上角的動態(tài)徽標(biāo)，還有工具欄的圖標(biāo)，只要雙擊每個(gè)策略，然后按照彈出窗口中的說明進(jìn)行操作后就可以生效。

如果我們希望IE在點(diǎn)擊“搜索”后使用Google作為默認(rèn)搜索引擎，那么也可以在這里設(shè)置實(shí)現(xiàn)。在“Internet Explorer維護(hù)”下點(diǎn)擊“URL”，然后雙擊“重要URL”這一策略，在其中選中“自定義搜索欄URL”前的復(fù)選框，然后在下面輸入http://www.google.com，確定后退出。這樣再次啟動IE后點(diǎn)擊“搜索”就可以用Google作為默認(rèn)搜索引擎了。

登錄注銷腳本的應(yīng)用

利用組策略，我們可以設(shè)置讓系統(tǒng)在用戶登錄和注銷的時(shí)候自動執(zhí)行腳本文件。而在腳本文件中我們可以做很多事情。例如整理磁盤碎片、清空臨時(shí)文件夾等。我們這里會以在計(jì)算機(jī)啟動時(shí)自動創(chuàng)建一個(gè)系統(tǒng)還原點(diǎn)為例說明該策略的用法。

要做到這一點(diǎn)首先需要編寫一個(gè)創(chuàng)建系統(tǒng)還原點(diǎn)的腳本，然后設(shè)置組策略讓計(jì)算機(jī)啟動的時(shí)候自動執(zhí)行這個(gè)腳本文件。腳本的編寫不是很難，因?yàn)檫@不是本文的討論范圍，因此大家請自己查看相關(guān)資料（建議你訪問這里：http://www.microsoft.com/china/technet/community/scriptcenter/default.mspx ）。

打開記事本，輸入以下內(nèi)容：

Set sr = getobject(”winmgmts:\\.\root\default:Systemrestore”)

msg = “New Restore Point successfully created.” & vbCR

msg = msg & “It is listed as: ” & vbCR

msg = msg & “Automatic Restore Point ” & Date & ” ” & Time

If (sr.createrestorepoint(”Automatic Restore Point”, 0, 100)) = 0 Then

MsgBox msg

Else

MsgBox “Restore Point creation Failed!”

End If

Set sr = Nothing

然后保存這個(gè)文件為systemrestore.vbs，注意，保存的時(shí)候要在“文件類型”下拉菜單中選擇“所有文件”，然后在“文件名”中輸入包括后綴名在內(nèi)完整的文件名。接著打開組策略編輯器，定位到“計(jì)算機(jī)配置-Windows設(shè)置-腳本（啟動/關(guān)機(jī)）”，雙擊其中的“啟動”策略打開啟動屬性對話框。然后點(diǎn)擊“添加”按鈕，并點(diǎn)擊瀏覽按鈕找到systemrestore.vbs文件，接著點(diǎn)擊確定退出這個(gè)選項(xiàng)卡。設(shè)置之后每次系統(tǒng)啟動后都會自動創(chuàng)建還原點(diǎn)。

這里還有很多其它策略可以設(shè)置，因?yàn)槊窟x中一個(gè)策略后編輯器中都會顯示相關(guān)的解釋和說明，相信那些可以幫助你理解每條策略的用途以及使用方法，因此這里就不再多說。

竅門：怎樣直接編輯其他計(jì)算機(jī)的組策略。

如果你只是臨時(shí)因?yàn)槟承┬枰薷木钟蚓W(wǎng)中另一臺計(jì)算機(jī)的組策略設(shè)置，那么最佳的做法是什么？在MSN Messenger上指揮對方操作？自己親自跑到對方電腦前操作？還是直接遠(yuǎn)程操作吧。在你的電腦中運(yùn)行“MMC”打開控制臺，然后在“文件”菜單下點(diǎn)擊“添加/刪除管理單元”，接著點(diǎn)擊“添加”按鈕，在可用的獨(dú)立管理單元列表中選中“組策略”控制臺組件，然后點(diǎn)擊“添加”。隨后會出現(xiàn)一個(gè)對話框，要你選擇組策略對象，如果你希望編輯本機(jī)的組策略，則直接使用默認(rèn)設(shè)置既可；否則，可以點(diǎn)擊“瀏覽”按鈕，并選擇“另一臺計(jì)算機(jī)”，然后再次點(diǎn)擊“瀏覽”按鈕，從隨后出現(xiàn)的選擇計(jì)算機(jī)對話框中選擇一臺本地局域網(wǎng)上的計(jì)算機(jī)（注意，需要你在對方計(jì)算機(jī)上具有管理員權(quán)限）。選擇好后會打開一個(gè)類似一般組策略編輯器的窗口，不過你可以仔細(xì)看一下，以往顯示的“本地計(jì)算機(jī)策略”已經(jīng)顯示為“2k3策略”（其中2k3是遠(yuǎn)程計(jì)算機(jī)的機(jī)器名）。不過這里要注意一下，使用這種方法遠(yuǎn)程連接其他計(jì)算機(jī)，需要其他計(jì)算機(jī)上一些默認(rèn)的系統(tǒng)服務(wù)處于啟動狀態(tài)，如果你為了優(yōu)化系統(tǒng)而禁用了某些服務(wù)，可能會造成連接的失敗。

軟件限制策略的應(yīng)用

單位的網(wǎng)絡(luò)管理員肯定都遇到過這種困擾，老板不希望員工在工作的時(shí)間聊QQ或者玩游戲，而總有員工會私下里安裝被禁止的軟件。怎樣避免這種情況？雖然有監(jiān)控軟件可以用，不過這樣顯得有些侵犯隱私。同時(shí)還有一種很麻煩的情況，現(xiàn)在越來越多的病毒通過電子郵件傳播，很多人都是無意中運(yùn)行了電子郵件的附件而中毒的，有沒有什么好的手段可以避免員工運(yùn)行來歷不明的文件？現(xiàn)在好了，如果你的客戶端是Windows XP Professional，那么就可以使用其中的軟件限制策略。

簡單來說，軟件限制策略是一種技術(shù)，通過這種技術(shù)，管理員可以決定哪些程序（雖然這里用了“程序”這個(gè)字眼，不過不單指exe文件，我們可以通過該技術(shù)限制任何類型擴(kuò)展名的文件被執(zhí)行）是可信賴的，而哪些是不可信賴的，對于不可信賴的程序，則系統(tǒng)會拒絕執(zhí)行。通常，管理員可以讓系統(tǒng)使用以下幾種方式鑒別軟件是否可信賴：文件的路徑、文件的哈希（Hash）值、文件的證書、文件被下載的網(wǎng)站在Internet選項(xiàng)中的區(qū)域、文件的發(fā)行商、特定擴(kuò)展名的所有文件，以及其他強(qiáng)制屬性。

軟件限制策略不僅可以在單機(jī)的Windows XP操作系統(tǒng)中設(shè)置，可以設(shè)置僅影響當(dāng)前用戶或用戶組，或者影響所有本地登錄到這臺計(jì)算機(jī)上的所有用戶；也可以通過域?qū)λ屑尤朐撚虻目蛻舳擞?jì)算機(jī)進(jìn)行設(shè)置，同樣可以設(shè)置影響某個(gè)特定的用戶或用戶組，或者所有用戶。我們這里會以單機(jī)的形式進(jìn)行說明，并設(shè)置影響所有用戶。單機(jī)和工作組環(huán)境下的設(shè)置和這個(gè)是類似的。另一方面，有時(shí)我們可能因?yàn)殄e(cuò)誤的設(shè)置而導(dǎo)致某些系統(tǒng)組件無法運(yùn)行（例如禁止運(yùn)行所有msc后綴的文件而無法打開組策略編輯器），這種情況下我們只要重新啟動系統(tǒng)到安全模式，然后使用Administrator賬號登錄并刪除或修改這一策略即可。因?yàn)榘踩Ｊ较率褂肁dministrator賬號登錄是不受這些策略影響的。

在本例中，我們假設(shè)了這樣的應(yīng)用：員工的計(jì)算機(jī)僅可運(yùn)行操作系統(tǒng)自帶的所有程序（C盤），以及工作所必須的Word、Excel、PowerPoint和Outlook，其版本號皆為2003，并假設(shè)Office程序安裝在D盤，員工電腦的操作系統(tǒng)為Windows XP Professional。

運(yùn)行Gpedit.msc打開組策略編輯器，仔細(xì)看就可以發(fā)現(xiàn)，在“計(jì)算機(jī)配置”和“用戶設(shè)置”下都各有一個(gè)軟件限制策略的條目，到底使用哪個(gè)？如果你希望這個(gè)策略僅對某個(gè)特定用戶或用戶組生效，則使用“用戶配置”下的策略；如果你希望對本地登錄到計(jì)算機(jī)的所有用戶生效，則使用“計(jì)算機(jī)配置”下的策略。這里我們需要對所有用戶生效，因此選擇使用“計(jì)算機(jī)配置”下的策略。

在開始配置之前我們還需要考慮一個(gè)問題，我們所允許的軟件都有哪些特征，而禁用的軟件又有哪些特征，我們要想出一種最佳的策略，能使所有需要的軟件正確運(yùn)行，而所有不必要的軟件一個(gè)都無法運(yùn)行。在本例中，我們允許的大部分程序都位于系統(tǒng)盤（C盤）的Program Files以及Windows文件夾下，因此我們在這里可以通過文件所在路徑的方法決定哪些程序是被信任的。而對于安裝在D盤的Office程序，也可任意通過路徑或者文件哈希的方法來決定。

點(diǎn)擊打開“計(jì)算機(jī)配置”下的軟件限制策略條目，接著在“操作”菜單下點(diǎn)擊“創(chuàng)建新的策略”（目前在安裝SP1的XP上，這里默認(rèn)是沒有任何策略的，但是對于安裝SP2的系統(tǒng)，這里已經(jīng)有了建好的默認(rèn)策略），系統(tǒng)將會創(chuàng)建兩個(gè)新的條目：“安全級別”和“其它規(guī)則”。其中在安全級別條目下有兩條規(guī)則，“不允許的”和“不受限的”，其中前者的意思是，默認(rèn)情況下，所有軟件都不允許運(yùn)行，只有特別配置過的少數(shù)軟件才可以運(yùn)行；而后者的意思是，默認(rèn)情況下，所有軟件都可以運(yùn)行，只有特別配置過的少數(shù)軟件才被禁止運(yùn)行。因?yàn)槲覀儽纠行枰\(yùn)行的軟件都已經(jīng)定下來了，因此我們需要使用“不允許的”作為默認(rèn)規(guī)則。雙擊這條規(guī)則，然后點(diǎn)擊 “設(shè)為默認(rèn)”按鈕，并在同意警告信息后繼續(xù)。

接著打開“其他規(guī)則”條目，可以看到，默認(rèn)情況下這里已經(jīng)有四個(gè)規(guī)則，都是根據(jù)注冊表路徑設(shè)置的，而且默認(rèn)都設(shè)置為“不受限的”。強(qiáng)烈提醒你，千萬不要修改這四個(gè)規(guī)則，否則你的系統(tǒng)運(yùn)行將會遇到很大麻煩，因?yàn)檫@四個(gè)路徑都涉及到了重要系統(tǒng)程序及文件所在的位置。同時(shí)，我們前面說過的，位于系統(tǒng)盤下Program Files文件夾以及Windows文件夾下的文件是允許運(yùn)行的，而這四條默認(rèn)的規(guī)則已經(jīng)包含了這個(gè)路徑，因此我們后面要做的只是為Office程序添加一個(gè)規(guī)則。在右側(cè)面板的空白處點(diǎn)擊鼠標(biāo)右鍵，選擇“新建哈希規(guī)則”，然后可以看到下圖的界面。在這里點(diǎn)擊“瀏覽”按鈕，然后定位所有允許使用的Office程序的可執(zhí)行文件（還記得分別是什么嗎？winword.exe、excel.exe、powerpnt.exe、outlook.exe），并雙擊加入。接著在“安全級別”下拉菜單下選擇“不受限的”，然后點(diǎn)擊確定退出。重復(fù)以上步驟，把這四個(gè)軟件的可執(zhí)行文件都添加進(jìn)來，并設(shè)置為不受限的。

到這里大家可以考慮一個(gè)問題，為什么我們選擇為每個(gè)程序的可執(zhí)行文件建立哈希規(guī)則？統(tǒng)一為Office應(yīng)用程序建立一個(gè)路徑規(guī)則不是更簡單？其實(shí)這樣才可以避免可執(zhí)行文件被替換，或者用戶把一些不需要安裝的綠色軟件復(fù)制到這個(gè)目錄下運(yùn)行。因?yàn)槿绻⒌氖悄夸浺?guī)則，那么所有保存在允許目錄下的文件都將可以被執(zhí)行，包括允許程序本身的文件，也包括用戶復(fù)制進(jìn)來的任何其他文件。而哈希規(guī)則就不同了，一個(gè)特定文件的哈希值是固定的，只要文件內(nèi)容不發(fā)生變化，那么它的哈希值就永遠(yuǎn)不會變。這樣也就避免了造假的可能。不過同時(shí)也存在一個(gè)問題，雖然文件的哈希值可以不變化，但是文件本身可能會需要某些改變。例如你安裝了一個(gè)Word的補(bǔ)丁程序，那么winword.exe文件的哈希值可能就會變化。因此如果你選擇創(chuàng)建這種規(guī)則，每當(dāng)軟件更新后你也需要看情況同步更新一下相應(yīng)的規(guī)則。否則正常程序的運(yùn)行也會被影響。

除此之外，這里還有幾條策略可以被我們利用：強(qiáng)制，可以限定軟件限制策略應(yīng)用到哪些文件以及是否應(yīng)用到Administrator賬戶；指派的文件類型，用于指定具有哪些擴(kuò)展名的文件可以被系統(tǒng)認(rèn)為是可執(zhí)行文件，我們可以添加或刪除某種類型擴(kuò)展名的文件；收信任的出版商，則可以用來決定哪些用戶可以選擇收信任的出版商，以及信任之前還需要采取的其他操作。這三個(gè)策略可以根據(jù)自己的實(shí)際情況作出選擇。

當(dāng)軟件顯示策略設(shè)置好之后，一旦被限制的用戶試圖運(yùn)行被禁止的程序，那么系統(tǒng)將會立刻發(fā)出警告并拒絕執(zhí)行。

域環(huán)境下策略的應(yīng)用

這部分的內(nèi)容比較復(fù)雜，因此我們通過兩個(gè)簡單些的實(shí)例來說明，我們要學(xué)習(xí)怎樣通過網(wǎng)絡(luò)部署軟件，以及安全模板的使用。下面的例子中作為域控制器的是Windows Server 2003，而客戶端是Windows XP Professional。

活動目錄包括兩個(gè)方面：目錄和與目錄相關(guān)的服務(wù)。目錄是存儲各種對象的一個(gè)物理上的容器，而目錄服務(wù)是使目錄中所有信息和資源發(fā)揮作用的服務(wù)。活動目錄是一種分布式的目錄服務(wù)，信息可以分散在多臺不同的計(jì)算機(jī)上，保證用戶能夠快速訪問，而因?yàn)槎嗯_機(jī)上有相同的信息，所以在信息容氏方面具有很強(qiáng)的控制能力。

什么是域？活動目錄是由組織單元、域、域樹、森林構(gòu)成的層次結(jié)構(gòu)。域作為最基本的管理單元，同時(shí)也是最基層的容器，它可以對用戶、計(jì)算機(jī)等基本數(shù)據(jù)進(jìn)行存儲。

域控制器是安裝了活動目錄的Windows Server計(jì)算機(jī)。域控制器存儲著目錄數(shù)據(jù)，并管理用戶域的交互關(guān)系，其中包括用戶登錄過程、身份驗(yàn)證和目錄搜索。一個(gè)域可有一個(gè)或多個(gè)域控制器。

組織單元也是邏輯單位，同域一樣，目的是為了管理的方便?？梢园脩艉陀脩艚M，以及計(jì)算機(jī)，不過組織單元仍屬于域的一部分。

怎樣安裝域控制器？在已經(jīng)安裝好的Windows 2000 Server和Windows Server 2003計(jì)算機(jī)上運(yùn)行dcpromo.exe后會啟動活動目錄安裝向?qū)?，按照向?qū)У奶崾据斎胂鄳?yīng)的信息后就可以將服務(wù)器配置為域控制器。

客戶端怎樣加入域？除了Windows XP Home，其余版本的主流Windows操作系統(tǒng)都可以加入域。以Windows XP Professional為例，在系統(tǒng)屬性對話框的計(jì)算機(jī)名選項(xiàng)卡下點(diǎn)擊“網(wǎng)絡(luò)ID”按鈕后可以選擇加入一個(gè)域。對于加入域的計(jì)算機(jī)，我們既可以使用本機(jī)賬戶登錄系統(tǒng)，也可以使用域賬戶登錄系統(tǒng)。使用域賬戶登錄后可以使用域中所有具有權(quán)限的資源。

軟件部署

我們要進(jìn)行的是通過軟件部署給單位里所有Windows XP客戶端計(jì)算機(jī)安裝SP1。首先到微軟網(wǎng)站下載SP1的安裝文件（sp1.exe），保存到域控制器上一個(gè)共享文件夾中（c:\deploy），然后在域控制器上運(yùn)行以下命令：c:\deploy\sp1.exe /x，并在出現(xiàn)的“為提取的文件選擇目錄”對話框上直接按下確定鍵，使用默認(rèn)目錄。

在域控制器上運(yùn)行dsa.msc打開Active Directory用戶和計(jì)算機(jī)控制臺，可以看到下圖所示的界面，這里顯示了域中的所有對象。

在我們要部署SP1的管理單元（local）上點(diǎn)擊鼠標(biāo)右鍵，并選擇屬性，可以打開local屬性對話框。

我們需要做的就是在這個(gè)對話框的組策略選項(xiàng)卡上配置安裝SP1的策略。點(diǎn)擊“新建”按鈕后可以在上方的列表中新建一條策略，接著需要給這個(gè)策略命名，可以選擇一個(gè)代表其功能的名字（例如這里我們使用“SP1 Install”），然后雙擊這條策略，可以看到一個(gè)和我們平常使用的組策略編輯器類似的窗口，不過從名字我們就可以看出，在這個(gè)窗口中可以對整個(gè)組織單元中所有的計(jì)算機(jī)設(shè)置一樣的策略。在窗口左側(cè)的樹形列表中展開“計(jì)算機(jī)配置-軟件設(shè)置-軟件安裝”，并選中“軟件安裝”。然后在“操作”菜單下依次選擇“新建-程序包”，接著在新出現(xiàn)的對話框中進(jìn)入deploy\update文件夾，并雙擊加入update.msi（注意，在這里不是直接通過我的電腦進(jìn)入C盤并選擇這個(gè)文件，而是通過網(wǎng)上鄰居來找到這個(gè)共享文件夾并選擇文件。即這個(gè)update.msi文件在本例中所用的路徑應(yīng)該是\\2k3\deploy\update\update.msi，而不是c:\deploy\update\update.msi。因?yàn)殡m然在服務(wù)器上這兩個(gè)路徑實(shí)際上代表了同一個(gè)位置，但是對于其他客戶機(jī)，則只能識別前一個(gè)路徑）文件。隨后系統(tǒng)會詢問部署方法，選擇“已指派”，然后繼續(xù)。稍等片刻后可以從窗口右側(cè)的面板中看到我們新加入的軟件。這樣，以后所有加入到這個(gè)域中的客戶機(jī)在重啟動登錄時(shí)都會首先檢查有沒有裝這個(gè)軟件，如果已經(jīng)安裝，則繼續(xù)登錄過程；否則就會自動從服務(wù)器上下載安裝文件并開始安裝。

基本上，所有通過Windows Installer技術(shù)安裝的軟件都可以通過這種方式批量部署給所有域中的客戶機(jī)來安裝。某些軟件，雖然也使用了Windows Installer技術(shù)，但是安裝文件可能只是一個(gè)exe文件（例如MSN Messenger），對于這種情況，一種簡單的方法就是直接用WinRAR等壓縮軟件打開這個(gè)exe文件，并從中提取msi文件用于批量部署。這種部署方法的客戶端可以是Windows 2000、Windows XP Professional或Windows Server 2003。

安全策略和安全模板

雖然大部分策略在系統(tǒng)中都有說明，但是這里還是要向你提一下一類比較特殊的策略，安全策略！現(xiàn)在電腦的安全問題已經(jīng)越來越引起人們的關(guān)注，雖然很多不負(fù)責(zé)任的說法都是說Windows仿佛漏勺那樣渾身都是漏洞，不過經(jīng)過恰當(dāng)?shù)呐渲?，Windows的安全性還是可以得到很大的提高。本刊五月份曾經(jīng)介紹過安全策略相關(guān)的內(nèi)容，因此建議大家在看到這部分的時(shí)候先找回之前的雜志重新復(fù)習(xí)一下，然后繼續(xù)看。

安全策略的備份和恢復(fù)

在辛苦配置好所有的安全策略之后，你一定希望能把這些設(shè)置保存起來供以后參考；或者希望能備份這些設(shè)置，這樣還可以在重裝系統(tǒng)后還原回來；甚至你可能會想直接把這些安全策略設(shè)置應(yīng)用到其他計(jì)算機(jī)上。另外，對于網(wǎng)絡(luò)管理員，可能經(jīng)常需要查看每臺客戶機(jī)的安全策略設(shè)置是否有任何問題，或者需要把同樣的安全策略應(yīng)用到多臺電腦上。有什么好辦法嗎？接下來我們要介紹的組策略模板和安全配制和分析工具能夠幫助我們。

安全模板的創(chuàng)建

我們首先解決第一個(gè)問題，如何備份和重新應(yīng)用自己的安全策略設(shè)置和其他安全設(shè)置。在一臺運(yùn)行Windows XP的計(jì)算機(jī)上運(yùn)行“MMC”，你將會看到一個(gè)控制臺窗口，在該窗口的“文件”菜單下點(diǎn)擊“添加/刪除管理單元”，然后點(diǎn)擊“添加”按鈕，在可用的獨(dú)立管理單元列表中選中“安全模板”控制臺組件，然后點(diǎn)擊窗口下方的“添加”按鈕，接著點(diǎn)擊“關(guān)閉”和“確定”，以關(guān)閉這些選項(xiàng)窗口，你將能夠看到下圖的界面。

[ctrl+鼠標(biāo)滾輪縮放]

首先展開“安全模板”分支，這里顯示了操作系統(tǒng)自帶的所有安全模板的保存位置以及名稱，保險(xiǎn)起見我們不準(zhǔn)備修改這些默認(rèn)的模板，而是新建自己的模板。在“安全模板”節(jié)點(diǎn)上點(diǎn)擊鼠標(biāo)右鍵，并選擇“添加模板搜索路徑”，接著在彈出的窗口中指定一個(gè)保存我們自建安全模板的文件夾（這里我們選擇直接保存在桌面上）。點(diǎn)擊確定后“安全模板”節(jié)點(diǎn)下出現(xiàn)了一個(gè)新的到桌面的路徑，在這個(gè)路徑上點(diǎn)擊鼠標(biāo)右鍵，并在右鍵菜單中選擇“新加模板”，在新彈出的窗口中輸入模板名稱（這里使用Template）后點(diǎn)擊“確定”。展開這個(gè)新建的模板，可以看到，這跟我們以前設(shè)置安全策略的界面差不多，還是同樣的策略，也有幾乎相同的設(shè)置選項(xiàng)，我們需要做的就是在這里分別設(shè)置所有必須的策略。

[ctrl+鼠標(biāo)滾輪縮放]

你可能注意到了，除了安全策略，我們還能設(shè)置其他一些內(nèi)容，例如某個(gè)系統(tǒng)服務(wù)的狀態(tài)、注冊表鍵的訪問控制權(quán)限、文件夾的訪問控制權(quán)限，這些東西都能通過安全模板備份和恢復(fù)，也能通過安全模板應(yīng)用到其他計(jì)算機(jī)上。舉兩個(gè)例子說明。

我們需要系統(tǒng)自動禁用Messenger信使服務(wù)，并設(shè)定只有Administrator才能修改這個(gè)服務(wù)的相關(guān)設(shè)置，那么可以這樣操作：在我們自己建立的安全模板中展開“系統(tǒng)服務(wù)”節(jié)點(diǎn)，找到并雙擊打開“Messenger”這個(gè)服務(wù)，選中“在模板中定義這個(gè)安全策略設(shè)置”，之后首先會彈出一個(gè)安全設(shè)置對話框，這和我們常見的設(shè)置共享文件夾權(quán)限的對話框類似，不過這里設(shè)置的是系統(tǒng)服務(wù)的權(quán)限。由于我們只希望Administrator能夠?qū)υ摲?wù)進(jìn)行設(shè)置，因此分別選中默認(rèn)的“Administrators”、“System”、“Interactive”等對象，接著點(diǎn)擊右側(cè)的“刪除”按鈕刪除它們，隨后點(diǎn)擊“添加”按鈕，在新彈出的窗口的“輸入對象名稱來選擇”對話框中輸入“Administrator”并直接回車，然后給Administrator設(shè)置“完全控制”的“允許”權(quán)限，并點(diǎn)擊“確定”按鈕退出。然后在“Messenger屬性”窗口中選中“已停用”單選按鈕。該服務(wù)的所有設(shè)置就已經(jīng)完成了。

假設(shè)我們還需要設(shè)置只有Administrator才能訪問系統(tǒng)C盤根目錄下的“Folder”文件夾，那么同樣是在安全模板中展開“文件系統(tǒng)”節(jié)點(diǎn)，然后在該節(jié)點(diǎn)上點(diǎn)擊鼠標(biāo)右鍵，選擇“添加文件”，在彈出的窗口中選中“c:\folder”這個(gè)文件夾（該文件夾需要事先建立好），然后在下圖的窗口中像之前設(shè)置服務(wù)的權(quán)限時(shí)一樣，刪除默認(rèn)的幾個(gè)對象，然后添加“Administrator”，并對其設(shè)置相應(yīng)的權(quán)限。

在添加完權(quán)限后你將會看到下圖的窗口，這里需要注意的就是“向所有子文件夾和文件傳播繼承權(quán)限”和“替換所有帶繼承權(quán)限的子文件夾和文件上的現(xiàn)存權(quán)限”這兩個(gè)選項(xiàng)，選擇前者，意味著Folder文件夾下的所有子文件夾和文件都將繼承Folder文件夾的權(quán)限設(shè)置；選擇后者意味著Folder文件夾的所有子文件夾和文件都將被同時(shí)應(yīng)用新的權(quán)限設(shè)置，而不管它們是不是還繼承了其他權(quán)限。

有一點(diǎn)需要注意，在你通過安全模板配置文件夾的權(quán)限時(shí)，如果你把該模板應(yīng)用到其他計(jì)算機(jī)上，并且其他計(jì)算機(jī)上相應(yīng)位置并沒有你所配置的那些文件夾，則這些選項(xiàng)將不會生效。

所有的安全策略、權(quán)限設(shè)置、系統(tǒng)服務(wù)都設(shè)置后，點(diǎn)擊選中“Template”節(jié)點(diǎn)，然后使用“操作”菜單下的“保存”命令，把這些設(shè)置都保存起來。

安全模板的應(yīng)用和分析

如果我們打算把這些設(shè)置應(yīng)用到其他計(jì)算機(jī)上，或者在重裝系統(tǒng)后自動應(yīng)用這些設(shè)置，可以這樣做：同樣是運(yùn)行“MMC”打開管理控制臺，不過這次我們要添加的是“安全配置和分析”控制臺組件，假設(shè)我們之前創(chuàng)建的安全模板文件“template.inf”保存在桌面上。首先我們要使用一個(gè)安全配置數(shù)據(jù)庫，雖然系統(tǒng)默認(rèn)提供了一個(gè)，不過保險(xiǎn)起見，還是建議新建一個(gè)。在“安全配置和分析”節(jié)點(diǎn)上點(diǎn)擊鼠標(biāo)右鍵，并選擇“打開數(shù)據(jù)庫”，在隨后出現(xiàn)的窗口中輸入新數(shù)據(jù)庫的名稱（safe1），然后點(diǎn)擊“打開”。接著需要導(dǎo)入模板，直接在出現(xiàn)的窗口中選擇我們保存在桌面上的template.inf文件，然后再次點(diǎn)擊“打開”。

如果我們想要知道現(xiàn)在使用的計(jì)算機(jī)的安全策略配置和我們自己的建議配置有什么不同，可以在“安全配置和分析”節(jié)點(diǎn)上點(diǎn)擊鼠標(biāo)右鍵，在右鍵菜單中選擇“立即分析計(jì)算機(jī)”，并指定好日志文件的保存位置，稍等片刻后就能看到分析出來的結(jié)果。依次點(diǎn)擊展開每個(gè)安全策略節(jié)點(diǎn)，你可以看見下圖的界面，

[ctrl+鼠標(biāo)滾輪縮放]

在這里每個(gè)策略都有“數(shù)據(jù)庫設(shè)置”和“計(jì)算機(jī)設(shè)置”兩個(gè)值，其中“數(shù)據(jù)庫設(shè)置”是我們之前創(chuàng)建的安全模板文件中的標(biāo)準(zhǔn)設(shè)置，而“計(jì)算機(jī)設(shè)置”則是當(dāng)前計(jì)算機(jī)的設(shè)置。對于和數(shù)據(jù)庫同樣的設(shè)置，會用綠色的勾標(biāo)示出來，而不一致的設(shè)置則會用紅色的叉標(biāo)示出來。如果你想直接修正當(dāng)前計(jì)算機(jī)上單獨(dú)的某個(gè)安全策略設(shè)置以和模板保持統(tǒng)一，只要雙擊該策略，然后直接修改即可。但如果你想直接把所有的安全設(shè)置（包括安全策略、系統(tǒng)服務(wù)、注冊表訪問權(quán)限以及文件和文件夾訪問權(quán)限）都和安全模板保持統(tǒng)一設(shè)置，則只要在“ 安全配置和分析”節(jié)點(diǎn)上點(diǎn)擊鼠標(biāo)右鍵，并在右鍵菜單中選擇“立即配置計(jì)算機(jī)”即可。

需要注意，在應(yīng)用安全模板（可能是系統(tǒng)默認(rèn)提供的，也可能是你的同事自己制作的）的時(shí)候一定要注意，有些時(shí)候別人的設(shè)置可能不一定適合自己，尤其是某些不當(dāng)?shù)脑O(shè)置可能會影響到一些軟件的正常使用。因此對于單位中的管理員，在正式大規(guī)模應(yīng)用這些模板之前，一定要注意先在測試環(huán)境中仔細(xì)測試過，保證絕對可靠后再應(yīng)用。另外，安全起見，在應(yīng)用之前最好能把系統(tǒng)的相關(guān)數(shù)據(jù)備份起來，以備發(fā)生不測后恢復(fù)。

另外一點(diǎn)，如果你想要制作適用于Windows XP操作系統(tǒng)的安全模板，那么盡量在Windows XP操作系統(tǒng)上制作該模板；同樣，如果你想要制作適用于Windows2000的安全模板，最好是在Windows 2000計(jì)算機(jī)上執(zhí)行該操作。另外，安全模板在域環(huán)境和工作組環(huán)境下都可以使用，而且方法基本上沒有區(qū)別。

組策略的應(yīng)用順序

相信你已經(jīng)注意到了，對于同一條策略，我們也許可以分別在本地和在域中給出不同的設(shè)置。那么如果域中的設(shè)置和本地的設(shè)置互相沖突了，系統(tǒng)該以哪個(gè)設(shè)置為準(zhǔn)？其實(shí)策略的應(yīng)用是有一定順序的，先后順序如下：

1，本地組策略對象中的設(shè)置

2，站點(diǎn)組策略對象中的設(shè)置

3，域組策略對象中的設(shè)置

4，管理單元組策略對象中的設(shè)置

由于最后被應(yīng)用的策略設(shè)置將會覆蓋之前應(yīng)用的設(shè)置，這意味著在設(shè)置互相沖突的情況下，最高級別的活動目錄下組策略設(shè)置將會取得優(yōu)先權(quán)，也就是說，最終的結(jié)果是，域中設(shè)置的策略將會覆蓋本地策略。